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(57) Abstract 

The invention features a communication system comprising multiple 
terminal equipment (I), each consisting of a terminal (4) co-operating with a 
microprocessor-driven user card (SIM module; 5). Each user card includes data 
memorising means (8) comprising a plurality of objects and servingras medium 
to at least two separate applications, the user card comprising means (6, 7) for 
executing instructions pertaining to the applications. Each object contained in the 
user card data memorising means is associated with a first defined access control 
policy by a set of first access conditions. Each object is also associated with 
at least another access control policy defined by a set of at least one alternative 
access condition. Each alternative access condition is applicable, for the said 
object, to a group of at least one instruction pertaining to the application(s) 
using the said other defined access control policy. Each object is also associated 
with a plurality of access control policy indicators each indicating, for one of the 
applications, which access control policy to use with the application, the control access policy indicators being stored in the data memorising 
means (8). 
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L/invention conccme un systeme de communication, du type comprenant notammcnt une pluralitd d'equipements terrninaux (1) 
constitufs chacun d'un terminal (4) cooperant avec une cane utilisateur a microprocesseur (module SIM ; 5). Chaque carle utilisatcur inclut 
des moyens (8) de memorisation de donn^es comprenant une plurality d'objets et servant de support a au moins deux applications distinctes. 
la carte utilisateur comprenant des moyens (6, 7) d'execution de commandes appartenant aux applications. Chaque objet compris dans les 
moyens de memorisation de donnees d'une carte utilisateur est assocte a une premiere politique de controle d'acces d^finie par un jeu de 
premieres conditions d'acces. Selon Pinvcntion, chaque objet est egalement associe* a au moins une autre politique de contr&le d'acces 
d6finie par un jeu d'au moins une condition d'acces alternative. Chaque condition d'acces alternative s'applique, pour ledit objet. a un 
groupe d'au moins une commande appartenant a la ou aux applications utilisant ladite autre politique de contrdle d'acces donnee. Chaque 
objet est Egalement associe* a une plurality d'indicateurs de politique de controle d'acces indiquant chacun. pour une des applications, quelle 
politique de contrdle d'acces utiliser avec cette application, les indicateurs de politique de contrdle d'acces £tant stocked dans les moyens 
(8) de memorisation de donndes. 
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Systeme de communication permettant une gestion securisee et 
independante d'une pluralite d'applications par chaque carte utilisateur, 
carte utilisateur et procede de gestion correspondants. 

Le domaine de V invention est celui des systemes de communication avec des 
equipements terminaux constitues chacun d'un terminal cooperant avec une carte 
utilisateur a microprocesseur. 

L'invention s'applique notamment, mais non exclusivement, dans le cas d'un 
systeme de radiocommunication cellulaire avec des stations mobiles constitudes chacune 
d'un terminal cooperant avec une carte utilisateur appelee module d' identification 
d'abonne (ou module SIM, pour "Subscriber Identity Module" en langue anglaise). 

L'invention s'applique egalement, k nouveau non exclusivement, dans le cas d'un 
systeme de communication avec des stations de paiement constitutes chacune d'un 
terminal bancaire cooperant avec une carte de paiement. 

Plus prtcisement, l'invention concerne un systeme de communication permettant 
une gestion s6curisee et independante d'une pluralite d'applications par chaque carte 
utilisateur. L'invention concerne Egalement une carte utilisateur et un procdde de gestion 
correspondants. 

Les inconvenients des syst&mes de communication connus sont presentes ci- 
dessous a travers l'exemple d'un systeme de radiocommunication cellulaire. II est clair 
cependant que l'invention n'est pas limitee h ce type de systeme, mais concerne plus 
g6n£ralement tout systfcme de communication dans lequel une carte utilisateur, destinee a 
cooperer avec un terminal, supporte plusieurs applications. 

Dans le domaine de la radiocommunication cellulaire, on connalt notamment, 
principalement en Europe, le standard GSM ("Groupe special Systemes Mobiles publics 
de radiocommunication fonctionnant dans la bande des 900 Mhz"). 

LMnvention s'applique notamment, mais non exclusivement, a un systeme selon 
ce standard GSM. Plus g6n6ralement, elle peut s'appliquer a tous les systemes dans 
lesquels chaque carte utilisateur peut gerer au moins deux applications distinctes. 

Dans le cas d'un systeme de radiocommunication cellulaire, un terminal est un 
equipement physique utilise par un usager du reseau pour acceder aux services de 
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telecommunication offerts. U existe diffiSrents types de terminaux, tels que notamment les 
portatifs, les portables ou encore les mobiles months sur des vehicules. 

Quand un terminal est utilise par un usager, ce dernier doit connecter au terminal 
sa carte utilisateur (module SIM), qui se presente generalement sous la forme d'une cane 
5 a puce. 

La carte utilisateur supporte une application principale telephonique (par exemple 
Implication GSM) qui permet son fonctionnement, ainsi que celui du terminal auquel elle 
est connectee, dans le systeme de radiocommunication cellulaire. Notamment, la carte 
utilisateur procure au terminal auquel elle est connectde un identifiant unique d'abonne 

10 (ou identifiant IMSI, pour "International Mobile Subscriber Identity" en langue anglaise). 

Pour cela, la carte utilisateur inclut des moyens d' execution de commandes (par exemple, 
un microprocesseur et une memoire programme) et des moyens de memorisation de 
donnees (par exemple une memoire de donnees). 

L' identifiant IMSI, ainsi que toutes les informations individuelles concernant 

15 Tabonne et destinies a etre utilisees par le terminal, sont stockees dans les moyens de 

memorisation de donnees du module SIM. Ceci permet a chaque terminal d'etre utilise 
avec n'importe quel module SIM 

Dans certains systfemes connus, et notamment dans un systeme GSM, il existe un 
service de messages courts (ou SMS, pour "Short Message Service" en langue anglaise) 

20 permettant T envoi de messages courts vers les stations mobiles. Ces messages sont emis 

par un centre de service de messages courts (ou SMS-C, pour "SMS Center" en langue 
anglaise). 

Lorsqu'une station mobile refoit un message court, elle le stocke dans les moyens 
de memorisation de donnees de son module SIM. L' application principale telephonique 
25 de chaque module SIM de traiter chaque message court regu, 

A Torigine, Tunique fonction <Tun message court dtait de fournir une information 
a Tabonne, generalement via un dcran d'affichage du terminal. Les messages courts, dits 
messages courts normaux, qui remplissent cette unique fonction ne contiennent done que 
des donndes brutes. 

30 Par la suite, on a imagine un service de messages courts am61iore (ou ESMS, 
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pour "Enhanced SMS" en langue anglaise), dans lequel deux types de messages courts 
peuvent etre envoyes, a savoir les messages courts normaux pr6cites et des messages 
courts ameliores pouvant contenir des commandes. 

Ainsi, dans le document de brevet EP 562 890 par exemple, il est propose de 
transmettre k un module SIM, via des messages courts ameliores, des commandes 
permettant de mettre a jour ou de reconfigurer ce module SIM a distance. En d'autres 
termes, des commandes encapsulees dans des messages courts amdliores permettent de 
modifier I 'application principale telephonique du module SIM. 

On a egalement propose que le module SIM serve de support a d'autres 
applications que Tapplication principale telephonique, telles que notamment des 
applications de location de voiture, de paiement ou encore de fiddlite. 

Du fait que les commandes appartenant a ces autres applications sont contenues 
dans des messages courts ameliores, et done externes au module SIM, ces autres 
applications sont dites distantes ou OTA (pour "Over The Air" en langue anglaise). Par 
opposition, T application principale tel6phonique, dont les commandes sont contenues 
dans les moyens de memorisation de donn6es du module SIM, est dite locale. Les 
commandes sont egalement dites locales ou distantes, selon que T application & laquelle 
elles appartiennent est elle-meme locale ou distante. 

Le document de brevet PCT/GB/9401295 decrit par exemple un module SIM 
supportant les applications distantes suivantes : mise a jour de numeros de telephones a 
distance, location (de voiture ou d'hotel notamment) et paiement. Chaque message 
comprend une commande suivie de donnees. A titre d'exemple, les quatre types de 
commandes distantes suivants (parmi 255 possibles) sont presents : 

les commandes d f £criture, permettant de stocker dans le module SIM, a partir 

d'un emplacement memoire sp^cifie, des donnees contenues dans les messages 

re9us ; 

les commandes de lecture, permettant de lire des donn6es dans le module SIM, a 
partir d'un emplacement memoire sp£cifie, les donnees lues etant placees dans des 
messages a destination des appelants exterieurs ; 

les commandes de verrouillage/d^verrouillage, permettant d'autoriser ou interdire 
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l'ecriture et la lecture d' emplacements mdmoires specifies du module SIM ; 

les commandes d' execution de programme, permettant d'executer un programme 

stocke dans le module SIM. 

Avec ces commandes distantes, on peut done executer des applications distantes 
5 (location, paiement, reconfiguration de I'application principale tdlephonique, ...). On peut 

egalement ajouter de nouvelles fonctionnalites au module SIM. Ainsi, le module SIM 
peut devenir une carte multiservice, avec par exemple les fonctionnalites d'une carte de 
cr£dit, d'un passeport, d'un permis de conduire, d'une carte de membre, etc. 

II est clair que ce recent concept de multi-application du module SIM est trfes 
10 avantageux pour l'abonne. En effet, ce dernier peut maintenant effectuer de fafon tres 

simple, uniquement avec un terminal dans lequel est insere son module SIM, de 
nombreuses operations telles que par exemple la location d'une voiture ou le paiement 
d'un service. 

En revanche, ce recent concept de multi-application du module SIM, tel qu'il est 

15 mis en oeuvre actuellement, presente T inconvenient majeur de ne pas assurer la gestion 

independante de chacune des applications, locale ou distante. En effet, dans tous les 
systemes connus 2l ce jour, les fichiers des moyens de memorisation de donnees du 
module SIM sont accessibles de la meme fa? on par toutes les applications. 

Ainsi, dans le document de brevet PCT/GB/9401295 precite, Tacces a certains 

20 emplacements memoires par une commande est toujours auto rise, tandis que l'acces & 

d'autres emplacements m£moires par une commande peut etre soit autorise soit refuse. 
Mais, quel que soit Templacement mdmoire concern^, Taccessibilite par une commande 
ne depend en aucune fa$on de V application & laquelle appartient cette commande. 

De meme, dans les specifications GSM actuelles (et notamment la specification 

25 GSM 11.11), aucune difference n'est faite entre les applications pour ce qui est des 

conditions d'accfes aux fichiers des moyens de memorisation de donnees du module SIM. 
En effet, chaque fichier possede sa propre politique de controle d'acces standard, qui est 
unique et defmie par un jeu de conditions d'acces standard, chacune de ces conditions 
d'acces standard s'appliquant a une commande distincte pour ce fichier. Chaque 

30 condition d'acces standard peut prendre differentes valeurs, telles que par exemple 



BNSDOCID: <WO 9744762A1_I_> 



WO 97/44762 



PCT/FR97/00871 



5 

"ALWAYS" (acces toujours autorise), "CHV1" ou "CHV2" (acces autorise apres 
verification du possesseur du module SIM) et "NEVER" (acces jamais autorise). Mais 
aucune de ces valeurs ne vise a Her Tacces au fichier a l'identit6 de Tapplication h laquelle 
appartient la commande qui demande cet acces. 

Cette absence de controle de Tacces aux fichiers en fonction des applications n'est 
pas satisfaisante du point de vue securite. En effet, ceci signifie que toutes les 
applications distantes support&s par les moyens de memorisation de donnees d'un meme 
module SIM peuvent acceder a Tensemble des fichiers de ces moyens de memorisation de 
donnees. Rien n'empeche done les donnees concernant une de ces applications distantes 
d'etre lues ou meme modifies par une autre de ces applications distantes. II ressort 
clairement de ce qui prec&de que chaque application distante ne dispose pas pour ses 
donnees propres stock6es dans Ie module SIM d'une security et d'une confidentiality 
suffisantes. 

L'invention a notamment pour objectif de pallier cet inconvenient majeur de T6tat 
de la technique. 

Plus precisement. Tun des objectifs de la presente invention est de fournir un 
sy steme de communication (et notamment, mais non exclusivement, un systeme de 
radiocommunication cellulaire) dans lequel chaque carte utilisateur peut gerer de fa9on 
securisee et ind6pendante une pluraHt6 d' applications. 

En d'autres termes, Tun des objectifs de Tinvention est de permettre a chaque 
fournisseur d' application d'dviter que d'autres applications que la sienne puissent acceder 
& au moins certains des objets (par exemple des fichiers) de la carte utilisateur qui 
supportent son application. 

Un autre objectif de Tinvention est de permettre la mise k jour (ou la 
reconfiguration) des objets de la carte utilisateur qui supportent les differences 
applications, tout en s ' ass u rant que ces applications continuent a etre gerees de fa9on 
securisee et independante. 

Un objectif complementaire de Tinvention est de permettre la creation k distance 
d'une nouvelle application qui, comme les applications d6jk existantes, est supportee par 
des objets dont au moins certains auxquels elle est seule a pouvoir acceder. 
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Ces differents objectifs, ainsi que d'autres qui apparaltront par la suite, sont 
atteints selon l'invention a l'aide d'un systeme de communication, du type comprenant 
notammcnt une pluralite d*equipements terminaux constitues chacun d'un terminal 
cooperant avec une carte utilisateur a microprocesseur, 

chaque carte utilisateur incluant des moyens de memorisation de donnees 
comprenant une plurality d'objets, lesdits moyens de memorisation de donnees servant de 
support a au moins deux applications distinctes, ladite carte utilisateur comprenant des 
moyens d* execution de commandes appartenant auxdites applications, 

chaque objet compris dans les moyens de memorisation de donnees d'une carte 
utilisateur etant associe a une premiere politique de controle d'acces d£finie par un jeu de 
premieres conditions d'accfcs, chacune desdites premieres conditions d'acces 
s'appliquant* pour ledit objet, a un groupe d'au moins une commande appartenant k la ou 
aux applications utilisant ladite premifcre politique de controle d'accfcs, 

caract6rise en ce que chaque objet est egalement associe a au moins une autre 
politique de controle d'acces, chaque autre politique de controle d'accfcs £tant d6finie par 
un jeu d'au moins une condition d'acces alternative, chaque condition d'accfcs alternative 
d'une autre politique de controle d'acces donnee s'appliquant, pour ledit objet, a un 
groupe d'au moins une commande appartenant k la ou aux applications utilisant ladite 
autre politique de controle d'acces donn6e, 

et en ce que chaque objet est egalement associd k une plurality d*indicateurs de 
politique de controle d'acc&s, chaque indicateur de politique de controle d'accfcs 
indiquant, pour une desdites applications, quelle politique de controle d'acces, k savoir 
premifcre ou autre, utiliser avec cette application, lesdits indicateurs de politique de 
controle d'acces 6tant stock£s dans lesdits moyens de memorisation de donnees. 

Le principe general de 1'invention consiste done k : 

associer k chaque objet (qui est par exemple un fichier), en plus de la 
premiere politique de controle d'acces (dite dans certains cas "standard"), 
une ou plusieurs autres politiques de controle d'acces ; et 
indiquer, pour chaque objet, la politique de controle d'acces (premifcre ou 
autre) a utiliser avec chaque application. 
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Ainsi, l'acces a 1' objet (par une commande) peut ne pas etre identique pour toutes 
les applications. Chaque application voit l'acces de ses differentes commandes a un objet 
definit par celles des politiques.de controle d'acces qui lui est assoctee pour cet objet. 

Avantageusement, pour chaque objet, au moins une autre politique de controle 
d'acces est specifique a une des applications, chaque condition d'accfes alternative de cette 
autre politique de controle d'acces specifique s'appliquant, pour ledit objet, a un groupe 
d'au moins une cornmande appartenant k Tunique application utilisant cette autre politique 
de controle d'acces specifique. 

De fa9on avantageuse, pour chaque objet, au moins une autre politique de 
controle d'acces est entierement commune a au moins deux applications, chaque 
condition d'acces alternative de cette autre politique de controle d'acces entierement 
commune s'appliquant, pour ledit objet, a un groupe d'au moins une commande 
appartenant auxdites au moins deux applications utilisant cette autre politique de controle 
d'acces entierement commune. 

Avantageusement, pour chaque objet, au moins une autre politique de controle 
d'acces est partiellement commune & au moins deux applications, 

certaines des conditions d'acces alternatives de cette autre politique de controle 
d'acces partiellement commune s'appliquant, pour ledit objet, a un groupe d'au moins 
une commande appartenant auxdites au moins deux applications utilisant cette autre 
politique de controle d'acces commune, 

d'autres des conditions d'accfes alternatives de cette autre politique de controle 
d'accfcs partiellement commune s'appliquant, pour ledit objet, k un groupe d*au moins 
une commande appartenant uniquement & l'une desdites au moins deux applications 
utilisant cette autre politique de controle d'acc&s commune. 

Ainsi, pour chaque objet, chaque application peut : 

soit avoir son propre jeu de conditions d'acces alternatives ; 

soit partager tout son jeu de conditions d'acces alternatives avec une ou 

plusieurs autres applications ; 

soit partager une partie seulement de son jeu de conditions d'acces 
alternatives avec une ou plusieurs autres applications. 
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Dans le cas le plus simple, chaque objet est associ6 d'une part a la premiere 
politique de controle d'acces ct d' autre part & une unique autre politique de controle 
d'acces. Cette derniere est defuiie par une seule condition d'acces, s'appliquant de fa^on 
commune a toutes les commandes des applications qui l'utilisent. 

Dans le cas le plus complexe, chaque objet est associd d'une part a la premiere 
politique de controle d'acces et d'autre part a autant d'autres politiques de controle 
d'acces distinctes qu'il existe d' applications. Chacune de ces autres politiques de controle 
d'acces est d6fmie par une plurality de conditions d'accfes distinctes s'appliquant chacune 
a une seule ou plusieurs des commandes appartenant a cette autre politique de controle 
d'acces. 

Dans un mode de realisation particulier du systeme de 1' invention, du type 
permettant une radiocommunication cellulaire, ladite plurality d'6quipements terminaux 
est une plurality de stations mobiles, lesdites cartes utilisateur etant des modules 
d' identification d'abonnS. 

Dans ce cas particulier d'un systeme de radiocommunication cellulaire, la pluralite 
d'applications support6es par les moyens de mdmorisation de la carte utilisateur 
comprend par exemple V application principale telephonique (par exemple T application 
GSM) et : 

soit au moins une application distante (par exemple de location de voiture, 
de paiement ou encore de fid61ite), dont les commandes sont fournies & 
partir de l'ext£rieur aux moyens d'execution de commande de la carte 
utilisateur (par exemple via des messages courts am£liores) ; et 
soit au moins une autre application locale, dont les commandes sont 
foumies en interne aux moyens d*ex6cution de commande de la carte 
utilisateur (par exemple h. partir d'une memoire programme ROM de cette 
carte utilisateur). 

II est k noter que la premifere situation est plus fr6quente que la seconde, du fait 
qu'une carte utilisateur ne supporte g6n6ralement qu'une application locale, a savoir 
1'application principale telephonique. Cependant, la seconde situation peut egalement etre 
envisagee. 
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Ainsi, selon Tinvention, dans le cas particulier d'un systeme de 
radiocommunication cellulaire, chaque carte utilisateur peut gerer de fafon s6curisee et 
independante toutes ou certaines des applications qu'il supporte. 

Dans un mode de realisation avantageux de l'invention, ledit systeme 6tant du 
5 type comprenant en outre au moins un centre de service de messages, 

lesdits moyens de memorisation de donnees d'une carte utilisateur servant de 
support a au moins une application locale et au moins une application distante de ladite 
carte utilisateur, les commandes 6tant dites locales, lorsqu'elles appartiennent a ladite 
application locale, ou distantes, lorsqu'elles appartiennent a ladite application distante, 
10 chaque terminal pouvant recevoir des messages, de type normal ou ameiiore, emis 

par ledit centre de service de messages, chaque carte utilisateur comprenant des moyens 
de stockage et de traiternent des messages re?us par le terminal avec lequel elle coopere, 

les messages normaux contenant des donnees brutes constituant une information 
destinee a etre fournie & l'abonne via notamment un ecran d'affichage du terminal, les 
15 messages ameliores contenant des commandes distantes, 

ledit systeme est caract6rise en ce que lesdits moyens de memorisation de donnees 
de chaque carte utilisateur stockent egalement une liste d' applications distantes autorisees, 

et en ce que chaque carte utilisateur comprend egalement des moyens de 
discrimination des messages am61ior6s, permettant de bloquer chaque message ameiiore 
20 qui contient des commandes distantes n'appartenant pas a une desdites applications 

distantes autorisees. 

Ainsi, la carte utilisateur ddtecte si r application distante 6mettrice du message 
ameiiore est autorisee a acceder & cette carte utilisateur. Cette operation de discrimination 
constitue un niveau de s6curit6 suppl6mentaire pour Tacces des commandes k la memoire 
25 de donnees de la carte utilisateur. 

Les messages normaux ou amtfliores sont par exemple des messages courts, selon 
le vocabulaire GSM. 

De fa?on preferentielle, lesdits moyens de memorisation de donnees de chaque 
carte utilisateur stockent Egalement, pour chacune desdites applications distantes 
30 autorisees, une reference secrete et un mode d* authentication de message associ£s, 



BNSDOCID: <WO 9744762A1_I_> 



WO 97/44762 



PCT/FR97/00871 



10 

et chaque carte utilisateur comprend egalement des moyens d'authentification des 
messages amelior£s discrimines, permettant d'authentifier un message ameliore 
discrimine en utilisant la reference secrete et le mode d'authentification de message 
associes, dans lesdits moyens de memorisation de donnees, a 1' application distante 
autorisee a laquelle appartiennent les commandes contenues dans ledit message ameliore 
discrimine. 

En d'autres termes, la carte utilisateur authentifie chaque message amdliore 
discrimine selon le mode d'authentification et la reference secrete associes a Implication 
6rnettrice de ce message. Cette operation d'authentification constitue encore un autre 
niveau de securite supplemental pour Faeces des commandes a la memoire de donnees 
de la carte utilisateur. 

Avantageusement, pour chaque objet, la ou au moins une des autres politiques de 
controle d'acces, dite seconde politique de controle d'acces, est defmie par un jeu d'au 
moins une condition d'acces alternative particuliere, chaque condition d'acces alternative 
particuliere pouvant prendre notamment les valeurs suivantes : 

"aucun acces" : si ledit objet n'est accessible par aucune commande dudit 
groupe d'au moins une commande auquel s'applique ladite condition 
d'acces alternative particuliere ; 

"acces privd" : si ledit objet n'est accessible que par les commandes 
appartenant a une unique application pr6d6terminee, parmi ledit groupe 
d'au moins une commande auquel s'applique ladite condition d'acces 
alternative particulate ; 

"acces partage" : si ledit objet est accessible par les commandes 
appartenant a au moins deux applications pr6determinees, parmi ledit 
groupe d'au moins une commande auquel s'applique ladite condition 
d'acces alternative particuliere. 
Dans un mode de realisation particulier de 1' invention, pour chaque objet, au 
moins une autre politique de controle d'acces, dite politique de controle d'acces a 
distance, est definie par un jeu d'au moins une condition d'acces a distance, chaque 
condition d'acces k distance s'appliquant, pour ledit objet, a un groupe d'au moins une 
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commande distante appartenant a la ou aux applications distantes utilisant ladite politique 
de controle d' acces a distance, 

et pour chaque objet,_seuls les indicateurs de politique de controle d'acces 
associes chacun a une des applications distantes peuvent indiquer ladite politique de 
controle d'acces a distance. 

Dans ce mode de realisation particulier, chaque objet peut voir son acces autoris6 
ou interdit a chaque application distante, a condition bien sur que la politique de controle 
d'acces a distance soit celle devant effectivement etre utilisee avec cette application 
distante. 

Pour chaque objet, on peut prevoir : 

soit une politique de controle d'acces a distance distincte pour chaque 
application distante ; 

soit une meme politique de controle d'acces a distance pour au moins 
certaines des applications distantes (ou bien pour toutes). 
II est a noter que si, mise h part la premiere politique de controle d'acceis, Tunique 
ou toutes les autres politiques de controle d'acces sont des politiques de controle d'acces 
a distance, alors la premiere politique de controle d'acces doit obligatoirement etre utilisee 
avec la ou les applications locales. 

De fa9on avantageuse, pour chaque objet, chaque condition d'acces a distance 
peut prendre les memes valeurs que lesdites conditions d'acces alternatives particulieres. 

Ainsi, il est possible de rdaliser une partition de la memoire de donnees de la carte 
utilisateur entre les diffSrentes applications distantes. En effet, certains objets peuvent etre 
rendus accessibles : 

soit ("aucun acces") par aucune commande distante, quelle que soit 
1' application distante a laquelle cette commande distante appartient ; 
soit ("acces prive") seulement par toutes ou certaines des commandes 
appartenant & une unique application distante, elite parente de cet objet ; 
soit ("acces partag6") par toutes ou certaines des commandes appartenant a 
certaines applications distantes bien determinees. 
De cette fa?on, tous les objets a acces prive lies a une meme application distante 
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parente constituent une zone securisee et etanche, propre a cette application parente et 
inaccessible aux autres applications. Le fournisseur d'une application distante donnee est 
ainsi assure que d f autres applications distantes que la sienne ne peuvent pas acceder a la 
zone securisee qui lui est allouee. 

Dans un mode de realisation avantageux de rinvention, dans lequel lesdits 
moyens de memorisation de donndes de chaque carte utilisateur sont du type possedant 
une structure hierarchique a au moins trois niveaux et comprenant au moins les trois types 
de fichiers suivants : 

fichier maitre, ou repertoire principal ; 

fichier specialise, ou repertoire secondaire place sous ledit fichier maitre ; 
fichier elementaire, place sous un desdits fichiers specialises, dit fichier 
specialise parent, ou directement sous ledit fichier maitre, dit fichier maitre 
parent, 

ledit systeme est caracterise en ce que lesdits moyens de memorisation de donnees 
de chaque carte utilisateur comprennent au moins un fichier elementaire systeme, chaque 
fichier elementaire systfeme etant lie a une application distante autorisee et stockant une 
premiere information de localisation de la reference secrete et du mode d' authentication 
de message associes a cette application distante autorisee a laquelle il est lie, 

et en ce que chaque message ameiiore comprend une seconde information de 
localisation du fichier elementaire systeme auquel est liee T application distante autorisee a 
laquelle appartiennent les commandes contenues dans ledit message am61ior6, 

lesdits moyens d'authentification lisant dans chaque message ameiiore discrimine 
ladite seconde information de localisation du fichier elementaire systeme, de fa?on a lire 
dans le fichier elementaire systeme ladite premiere information de localisation de la 
reference secrete et du mode d'authentification de message a utiliser pour authentifier ledit 
message ameiiore discrimine. 

Ainsi, chaque fichier elementaire systeme contient des informations permettant de 
retrouver les elements necessaire h V operation d' authentication d'un message emis par 
I' application distante h laquelle est lie ce fichier elementaire systeme. De son cote, chaque 
message comporte (dans son en-tete) des informations permettant de retouver le fichier 
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elementaire systeme auquel son application emettrice est liee, de fa9on que son 
authentification puisse etre effectuee. 

Avantageusement, chaque fichier elementaire systeme est place sous un fichier 
specialise ou directement sous le fichier maitre, un fichier elementaire systeme au 
maximum pouvant etre place sous chaque fichier specialise, et un fichier elementaire 
systeme au maximum pouvant etre place directement sous le fichier maitre. 

De fa?on pref6rentielle, si aucun fichier elementaire systeme n'existe sous un 
fichier specialise, ni sous le fichier maitre, alors chaque fichier elementaire place sous 
ledit fichier specialise, quelle que soit la valeur des conditions d'acces a distance 
associees a ce fichier elementaire, n'est accessible par aucune commande distante, 

et si aucun fichier elementaire systeme n'existe directement sous le fichier maitre, 
alors chaque fichier elementaire place directement sous le fichier maitre, quelle que soit la 
valeur des conditions d'acces a distance associees k ce fichier Elementaire, n'est 
accessible par aucune commande distante. 

Ceci signifie que pour etre accessible par une commande distante, un fichier doit 
etre place sous un fichier specialise ou directement sous un fichier maitre auquel se 
rapporte un fichier elementaire systeme. Ce qu'on entend ici par "se rapporte" est precise 
par la suite. 

Prdferentiellement, ladite seconde information de localisation du fichier 
elementaire systeme est un identificateur d'un fichier specialise ou d'un fichier maitre 
auquel se rapporte ledit fichier elementaire systeme selon une strategic de recherche 
predeterminee dans les moyens de memorisation de donnees. 

Avantageusement, ladite strat6gie de recherche predeterminee dans les moyens de 
memorisation de donnees est un mecanisme de recherche en amont (du type 
"backtracking"), consistant & rechercher si un fichier elementaire systeme existe sous le 
fichier specialise ou le fichier maitre indique par ledit identificateur, et, dans la negative et 
si r identificateur n' indique pas le fichier maitre, a rechercher si un fichier elementaire 
systeme existe directement sous le fichier maitre. 

Ainsi, Texpression "se rapporte" utilisee precedemment correspond par exemple a 
une recherche de type "backtracking". 
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Dans un mode de realisation avantageux de 1'invention, dans le cas d'un fichier 
dont une des conditions d'acces a distance possede la valeur "acces prive", ladite unique 
application distante pred£terminee dont les commandes distantes peuvent acceder audit 
fichier est, sous reserve que son authentification soit reussie, T application distante 
autorisee parente dudit fichier, c'est-fc-dire 1'application distante autorisee liee au meme 
fichier elementaire systeme que celui auquel se rapporte le fichier specialise parent ou le 
fichier maitre parent dudit fichier, 

et, dans le cas d'un fichier dont la condition d'acces a distance possede la valeur 
"acces partage", lesdites au moins deux applications distantes pr^determinees dont les 
commandes distantes peuvent acceder audit fichier sont, sous reserve que leur 
authentification soit reussie, toutes les applications distantes autoris^es, quel que soit le 
fichier 616mentaire systeme auquel chacune d'elles est liee. 

Ainsi, une application parente liee a un fichier elementaire systeme donne a 
comme fichiers enfants tous les fichiers dont le fichier specialise parent ou le fichier 
maitre parent (c'est-a-dire le fichier specialise ou le fichier maitre sous lequel ils sont 
directement places) se rapporte k ce fichier el6mentaire systeme donne. 

L'ensemble des fichiers enfants d'une application parente constitue un 
regroupement logique de fichiers, egalement appele domaine de securite propre a cette 
application. Dans le cas d'un acc6s distant autoris^ du type "prive", c'est ce domaine de 
securite qui d61imite la zone securisee specifique k V application b6neficiant de ce droit 
privatif. 

En d'autres termes, le domaine de s6curit6 consiste pour partie a regrouper 
logiquement les fichiers en fonction de leur lien de dfipendance parent/enfant avec une 
application. Chaque application possede son domaine de securite. Cela consiste en fait a 
donner une definition des objets du domaine de securite de Tapplication. Le 
regroupement logique des fichiers peut done etre appel6 domaine de securite de 
Tapplication, ou encore domaine de validite du schema securitaire de Tapplication. 

De fa?on avantageuse, chaque fichier elementaire systeme comprend un ensemble 
distinct d'indicateurs de politique de controle d'acces, chaque indicateur de politique de 
controle d'acces indiquant, pour une desdites applications, quelle politique de controle 
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d'acces, a savoir premiere ou autre, utiliser avec cette application, 

ledit ensemble distinct d'indicateurs de politique de controle d'acces etant associe 
a tous les fichiers dont le fichier specialise parent ou le fichier maTtre parent se rapporte 
audit fichier dlementaire systeme. 

L' invention concerne egalement une carte utilisateur k microprocesseur du type 
destine k cooperer avec un terminal de fa9on a constituer un 6quipement terminal d'un 
systeme de communication tel que precitd, 

caracterisee en ce que chaque objet des moyens de memorisation de donnees de 
ladite carte utilisateur est egalement associe a au moins une autre politique de controle 
d'acces, chaque autre politique de controle d'acces etant definie par un jeu d'au moins 
une condition d'acces alternative, chaque condition d'acces alternative d'une autre 
politique de controle d'acces donnee s'appliquant, pour ledit objet, k un groupe d'au 
moins une commande appartenant a la ou aux applications utilisant ladite autre politique 
de controle d'acces donnee, 

et en ce que chaque objet est Egalement associe a une pluralite d'indicateurs de 
politique de controle d'accfcs, chaque indicateur de politique de controle d'acces 
indiquant, pour une desdites applications, quelle politique de controle d'acces, a savoir 
premiere ou autre, utiliser avec cette application, lesdits indicateurs de politique de 
controle d'acces etant stock6s dans les moyens de memorisation de donnees de ladite 
carte utilisateur. 

L' invention concerne aussi un precede de gestion securis6e et independante d'au 
moins deux applications distantes, par une carte utilisateur k microprocesseur du type 
destine a cooperer avec un terminal de fa$on a constituer un equipement terminal d'un 
systeme de communication tel que pr^cite, 

caracterise en ce que, pour chaque message amelior^ re$u, ladite carte utilisateur 
effectue notamment F 6 tape suivante : pour chaque commande distante contenue dans ledit 
message am61iore, verification de Taccessibilite de cette commande distante a l'objet 
concerne, ladite verification de r accessible s'appuyant sur une politique de controle 
d'accfcs, premiere ou k distance, a utiliser pour ledit objet concerne avec ladite application 
distante courante. 
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Avantageusement, pour chaque message ameliore re?u T ladite carte utilisateur 
effectue egalement une 6tape prealable de discrimination dudit message ameliore, de fagon 
a ne poursuivre son traitement que si Implication distante, dite application distante 
courante, a laquelle appartiennent les commandes distantes qu'il contient est une 
application distante autorisee. 

De fagon avantageuse, pour chaque message am61iore refu, ladite carte utilisateur 
effectue egalement une etape prealable d'authentification dudit message ameliore, en 
utilisant une reference secrete et un mode d'authentification de message associes a ladite 
application distante courante. 

Avantageusement, au moins certains des Elements appartenant au groupe suivant 
peuvent etre crees et/ou mis a jour et/ou supprim£s par rinterm6diaire de commandes 
distantes : 

les valeurs des conditions d'accfcs, notamment premieres ou a distance, 
des politiques de controle d'acces associees a chaque objet ; 
l'indicateur de politique de controle d'acces, notamment premiere ou a 
distance, h. utiliser avec chaque application pour chaque objet ; 
la liste des applications distantes autoris^es ; 

pour chacune des applications distantes autorisees de ladite liste, la 
reference secrete et le mode d'authentification de message associes ; 
le ou lesdits fichiers elementaires systeme lies chacun a une application 
distante autorisee distincte ; 
les fichiers £16mentaires, sp6cialis6 et maitre. 
Ainsi, la s6curisation d'acces aux objets selon 1* invention peut etre adapt^e, par 
mise a jour ou reconfiguration, h revolution des besoins de chaque application. 

De plus, des applications (par exemple distantes) entierement nouvelles peuvent 
etre ajoutees et supportees par la memoire de donnees de la carte m6moire. Ces nouvelles 
applications (distantes) peuvent ben£ficier, de la meme fa^on que les applications 
(distantes) pr6vues h Torigine, d'une s6curit6 d'acces propre (avec par exemple un mode 
d'authentification, une reference secrfete et un schema securitaire specifiques). 

D'autres caract6ristiques et avantages de 1' invention apparaitront a la lecture de la 
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description suivante (Tun mode de realisation preferentiel de l'invention, donne a titre 
d'exemple indicatif et non limitatif, et des dessins annexes, dans lesquels : 

la figure 1 presente un schema synoptique simplifie d'un mode de 
realisation particulier d'un systfcme de radiocommunication cellulaire selon 
T invention ; 

la figure 2 presente la structure d'un mode de realisation particulier d'un 
message court ameliord selon I' invention rtqu par le module SIM de la 
figure 1 ; 

la figure 3A presente de fafon schematique un mode de realisation 

particulier d'un fichier de la memoire de donnees de la figure 1, avec ses 

politiques de controle d'acc&s et ses indicateurs associes ; 

la figure 3B presente un exemple d'une pluralite d'indicateurs tels 

qu'associ6s a un fichier comme presente sur la figure 3 A ; 

la figure 4 presente un premier exemple de partition de la memoire de 

donnees de la figure 1 entre plusieurs applications ; 

la figure 5 presente un organigramme simplifie d'un mode de realisation 
particulier du traitement par le module SIM de la figure 1 d'un message 
court amelior£ ; 

les figures 6 et 7 permettent d'expliciter les Stapes de filtrage d'application 
et d'authentification de message apparaissant sur la figure 5 ; 
les figures 8 et 9 permettent d'expliciter l'dtape de s^curisation de 
T execution d'une commande apparaissant sur la figure 5 ; 
la figure 10 presente un second exemple de partition de la memoire de 
donnees de la figure 1 entre plusieurs applications. 
Dans le mode de realisation particulier decrit ci-dessous, uniquement a titre 
d'exemple, le syst&me de communication est un systeme de radiocommunication 
cellulaire du type GSM. II est clair toutefois que l'invention n'est pas limitte h ce type 
particulier de systeme de communication, mais concerne plus g6neralement tous les 
systemes de communication comprenant une pluralite d'equipements terminaux constitues 
chacun d'un terminal coop6rant avec une carte utilisateur a microprocesseur. 
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Dans un souci de simplification, sur la figure 1, on a represents uniquement une 
station mobile (MS) 1 reliee, via un reseau 2, a un centre de service de messages courts 
(SMS-C) 3. En rdalite, le systeme comprend une pluralite de stations mobiles 1, 
constitutes chacune d'un terminal (ME) 4 coopdrant avec un module d' identification 
5 d'abonne (module SIM) 5. 

Chaque module SIM 5 comprend notamment, de fagon classique : 

des moyens 6 d' execution de commandes, constitues generalement d'un 
microprocesseur ; 

une memoire programme 7, stockant V application GSM (ou plus 
10 generalement V application principale t&ephonique) et eventuellement 

d'autres applications locales. Cette memoire programme 7 est par exemple 
une mdmoire ROM ; 

une memoire de donnees 8, servant de support a toutes les applications, 
locales ou distantes, que le module SIM peut ex^cuter. En d'autres 

15 termes, elle stocke toutes les donnees auxquelles les applications 

supportees doivent pouvoir acceder lors de leur execution. Par exemple, 
elle stocke toutes les informations individuelles de Tabonne (telles que 
notamment son numero international d'abonne (identifiant IMSI), sa cle 
d* authentication individuelle (Ki) et l'algorithme d'authentification (A3)) 

20 necessaires a F execution de V application GSM. Cette memoire de donnees 

8 est par exemple une memoire EEPROM ; 

des moyens 9 de stockage et traitement des messages courts re$us. En 
effet, chaque message court rcgu par le terminal 4 est transmis au module 
SIM 5 pour traitement par T application GSM. 
25 Le SMS-C 3 met en oeuvre un service de messages courts ameliore (ESMS) qui 

permet d'envoyer deux types de messages courts h r ensemble des stations mobiles 1, a 

savoir : 

des messages courts "normaux", qui transportent uniquement des donnees 
brutes. Les donnees brutes d'un message court normal correspondent a 
30 une information a afficher sur un ecran du terminal 4, par exemple pour 
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inviter Tabonne a rappeler un numero donn£ ; 

des messages courts "ameliores'\ qui transportent des commandes 
appartenant a des applications dites distantes (ou OTA), du fait que les 
commandes (dgalement dites distantes) qui les constituent ne sont pas 
stockees dans la memoire programme 7 du module SIM. 
La figure 2 presente la structure d'un mode de realisation particulier d'un message 
court ameliore selon I 'invention regu par le module SIM 5. Ce message court ameliore 20 
comprend un en-tete SMS 21 (SMS Header en langue anglaise) et un corps 22 (TP-UD, 
pour "Transfer layer Protocol - User Data" en langue anglaise). Les commandes distantes 
Cmdl, Cmd2, etc sont placees dans le corps 22. II s'agit par exemple de commandes 
classiques (operationnelles ou administratives), definies dans les normes GSM 11.11, 
ISO 78.16-4 ou encore EN 726-3, telles que SELECT, UPDATE BINARY, UPDATE 
RECORD, SEEK, CREATE FILE, CREATE RECORD, EXTEND, etc. Les autres 
champs concemes par la presente invention sont pr^sentes en detail dans la suite de la 
description. 

La memoire de donnees 8 comprend une pluralite de fichiers. De fafon classique, 
et comme specifie dans la norme GSM 11.11, chacun de ces fichiers est associe a une 
politique de controle d'acces standard. Celle-ci est definie par une pluralite de conditions 
d'acces standard (Standard AC) s'appliquant chacune a une commande distincte 
susceptible d'acceder a ce Fichier. Chaque condition d'acces standard peut prendre 
differentes valeurs (par exemple "ALWays", "CHV1", "CHV2" ou encore "NEVer"). 
Aucune de ces valeurs n'est fonction de Tapplication a laquelle appartient la commande 
qui desire acceder au fichier. 

Le principe general de Tinvention consiste a associer egalement & chaque fichier 
de la memoire de donnees 8 : 

au moins une autre politique de controle d'acces, chaque autre politique de 
controle d'acces 6tant definie par un jeu d'au moins une condition d'acces 
alternative, chaque condition d'acces alternative d* une autre politique de 
controle d'accfcs donnee s'appliquant, pour ce fichier, a un groupe d'au 
moins une commande appartenant k la ou aux applications utilisant cette 
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autre politique de controle d'acces ; et 

pour chacune des applications supportees, un indicateur de politique de 
controle d'acces, indiquant quelle politique de controle d'acces, a savoir 
standard ou autre, utiliser avec cette application. 
Dans un souci de simplification, dans r exemple present^ dans la suite de la 
description, les applications ne possedent pas chacune, pour chaque fichier, une autre 
politique de controle d'accfes qui leur est propre (avec leur propre jeu de conditions 
d'acces alternatives) mais se partagent toutes, et de fagon complete (c'est-i-dire pour 
toutes leurs commandes sans distinction), deux autres politiques de controles d'accfes 
communes (avec chacune une unique condition d'acces qui s'applique pour toutes les 
commandes). 

La figure 3A presente de fa?on schematique un mode de realisation particulier 
d'un fichier 30 de la memoire de donnees 8, avec ses politiques de controle d'acces 31 et 
ses indicateurs associ6s 32. Le tableau de l'annexe 1 presente un exemple d'une pluralite 
de politiques de controle d'acces telles qu'associees a ce fichier 30. La figure 3B presente 
un exemple d'une pluralite d'indicateurs 32 tels qu'associes au fichier 30. 

Dans T exemple suivant de caracteristiques associees a un fichier 30, decrit en 
relation avec la figure 3B et le tableau de l'annexe 1, on considere que : 

le module SIM supporte 1' application GSM (unique application locale) et 
trois applications distantes (appli. dist. 1, appli. dist. V et appli. dist. 1") 
» 

il existe une politique de controle d'acces standard (PC A standard) et deux 
politiques de controle d'accfes a distance (PC A a distance n°l et PCA a 
distance n°2). 

Comme presente sur le tableau de l'annexe 1, dans la politique de controle d'acces 
standard, chaque commande (distante ou locale), quelle que soit Tapplication a laquelle 
elle appartient (application GSM ou l'une des applications distantes), est associee a une 
condition d'acces standard specifique (cond. d'acces std 1, cond. d'acces std 2, ...). De 
fa?on classique, chaque condition d'acces standard possede une valeur appartenant au 
groupe comprenant : "ALWAYS" (acces toujours autorise), "CHVI" ou "CHV2" (acces 
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autorise apres verification du possesseur du module SIM) et "NEVER" (acces jamais 
autorise). 

Dans la politique de controle d'acces h distance n°l, toutes les commandes 
distantes (dans un souci de simplification), quelle que soit V application a laquelle elles 
appartiennent, sont associees a une meme condition d'acces a distance (egalement dans 
un souci de simplification) (cond. d'acces k dist. I). Cette condition d'acces a distance 
peut par exemple prendre Tune des trois valeurs suivantes : "PARTAGE", "PRIVE" et 
"JAMAIS". Ainsi, dans cet exemple, elle possede la valeur "PARTAGE". 
On explique maintenant le sens de chacune de ces trois valeurs : 

"JAMAIS*' (ou "aucun acces") signifie que le fichier 30 n'est accessible 
par aucune commande, quelle que soit V application a laquelle appartient 
cette commande ; 

"PRIVE" (ou "acces prive") signifie que le fichier 30 n'est accessible que 
par les commandes appartenant a une unique application predeterminee ; 
"PARTAGE" (ou "accds partage") signifie que le fichier 30 est accessible 
par les commandes appartenant & au moins deux applications 
predeterminees. 

On notera que les trois valeurs "PARTAGE", "PRIVE" et "JAMAIS" sont encore 
discutees dans la suite de la description, en relation avec les figures 9 £ 1 1 . 

Dans la politique de controle d'acces a distance n°2, toutes les commandes 
distantes, quelle que soit T application k laquelle elles appartiennent, sont associees a une 
meme condition d'acces a distance (cond. d'acces a dist. 2). Cette condition d'acces a 
distance peut par exemple prendre une valeur X parmi un autre groupe de valeurs (X, Y, 
Z, ...) que celui precite (et comprenant les valeurs "PARTAGE", "PRIVE" et 
"JAMAIS"). 

Comme present^ sur la figure 3B, pour chacune des applications supportees 
(appli. GSM, appli. dist. 1, appli. dist. V et appli. dist. 1") , un indicateur de politique 
de controle d'acces precise quelle politique de controle d'acces utiliser avec cette 
application (a savoir PCA standard, PCA h distance n°l ou PCA a distance n°2). 

Ainsi, on peut obtenir une partition de la memoire de donnees 8 (et plus 
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precisement de I'ensemble des fichiers utilisant une meme politique de controle d'acces a 
distance) en fonction des differentes applications distantes suppport£es par cette memoire 
de donnees. 

Dans Texemple present^ sur la figure 4, tous les fichiers de la memoire de 
5 donnees utilisent la politique de controle d'acces a distance n°l. Ainsi, vu de Texterieur 

(c'est-fc-dire pour les applications distantes), la memoire de donnees apparait partagee 
entre une application locale et trois applications distantes (Fideiite, Paiement et GSM). On 
notera que, dans cet exemple, Implication appelee GSM n'est pas locale mais distante. 

La memoire de donn£es 8 possede, dans le mode de realisation presente a titre 
1° d'exemple, une structure hierarchique a trois niveaux et comprend les trois types de 

fichiers suivants : 

un fichier maitre (MF), ou repertoire principal ; 

une pluralite de fichiers specialises (DF, DF Fid * iit6 , DF Paiement , DF GS m, 
DF T6i6com). qui sont des repertoires secondares places sous le fichier 

15 maitre; 

une pluralite de fichiers 61£mentaires (EF), places chacun soit sous un des 
fichiers specialises (dit alors fichier specialise parent) soit directement 
sous le fichier maitre (dit alors fichier maitre parent). 
On distingue huit groupes de fichiers, k savoir : 

20 - groupe A : les fichiers uniquement accessibles par les commandes de 

r application distante Fid£lit£, c'est-&-dire les fichiers dont la condition 
d'acces a distance est "PRIVE" pour T application Fid61it£ ; 
groupe B : les fichiers uniquement accessibles par les commandes de 
1' application distante Paiement ; 

25 - groupe C : les fichiers accessibles par les commandes des applications 

distantes Fid£lit£ et Paiement, c'est-S-dire les fichiers dont la condition 
d'acc&s a distance est "PARTAGE" pour les applications Fidelite et 
Paiement ; 

groupe D : les fichiers uniquement accessibles par les commandes de 
30 1' application distante T616com ; 
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groupe E : les fichiers accessibles par les commandes des applications 
distantes Telecom et Fidelite ; 

groupe F : les fichiers accessibles par les commandes des applications 
distantes Paiement et Fidelite ; 

groupe G : les fichiers accessibles par les commandes des applications 
distantes Telecom, Paiement et Fidelite ; 

groupe H : les fichiers accessibles par les commandes d'aucune 
application distante, c'est-a-dire les fichiers dont la condition d'acces a 
distance est "JAMAIS". 

IJ est a noter que les fichiers du groupe H restent accessibles aux commandes de 
T application locale (sous reserve que les conditions d'acces standard correspondantes 
soient verifiees). De m|me, les fichiers du groupe H seraient accessibles aux commandes 
d' applications distantes qui utiliseraient la politique de controle d'acces standard et non 
pas la politique de controle d'acces a distance (sous reserve la encore que les conditions 
d'acces standard correspondantes soient verifiees). 

On presente maintenant, en relation avec Torganigramme de la figure 5, un mode 
de realisation particulier du procede de traitement par le module SIM d'un message court 
ameliore. Pour chaque message court amelior6 re?u, le module SIM effectue notamment 
les etapes suivantes : 

il determine (51) si le message court refu (egalement appete signal OTA) est un 

message court amelior£ (et contient done des commandes appartenant a une 

application distante) ou un message court normal ; 

il poursuit (52) le traitement s'il s'agit d'un message court ameliore, et 
Tinterrompt (53) dans le cas contraire ; 

il determine (54) si Tapplication distante 6mettrice du message (e'est-a-dire 
T application dont des commandes sont contenues dans le message) est une 
application distante autorisee (£tape 54 de discrimination d' application) ; 
il poursuit (55) le traitement s'il s'agit d'une application distante autorisee, et 
Tinterrompt (56) dans le cas contraire ; 

il verifie (57) T authenticity du message en utilisant une rfference secrete et un 
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mode d* authentication de message associes & r application distante emettrice du 
message (etape 57 d'authentification de message) ; 

il poursuit (58) le traitement s*il rauthentification est correcte, et Tinterrompt (59) 
dans le cas conlraire ; 
5 - pour chaque commande distante contenue dans le message : 

* il interprete (510) chaque commande distante (egalement appelee 
operation) contenue dans le message ; 

* il verifie (511) T accessibility de cette commande distante au fichier 
concerne (egalement appele champ de donnees), en fonction de la 

10 politique de controle d'acces, standard ou a distance, a utiliser pour le 

fichier concerne avec 1'application distante emettrice du message (etape 
5 1 1 de s^curisation de l'execution d'une commande) ; 

* il poursuit (512) le traitement si la commande distante peut acceder au 
fichier, et passe (513) dans le cas contraire a r etape 515 d'etablissement 

15 d'un compte-rendu ; 

* il execute (514) la commande ; et 

il etablit (515) un compte-rendu d'execution. 

Les figures 6, 7 et 8 permettent d'expliciter les etapes de discrimination 
d' application 54 et d'authentification de message 57. 

20 Comme present^ sur la figure 6, un fichier 60 de la memoire de donn6es 8 stocke 

une liste d' applications distantes autorisees. Ce fichier 60, appele fichier elementaire 
d\entr6e (ou encore EF SMS Log), contient par exemple les adresses (TP-OA 1 a TP-OA 
n) de chacun des fournisseurs d' application distante autoris6e. Ces adresses sont appelees 
adresses TP-OA, pour *TP-Originating-Addresses" en langue anglaise. Par ailleurs, 

25 chaque message court ameliore comprend dans son en-tete (cf figure 2) un champ "TP- 

OA". 

Ainsi, lors de r etape 54 de discrimination d'application 54, le module SIM 
identifie Tapplication distante emettrice du message en s'assurant que Tadresse TP-OA du 
message est identique a Tune des adresses TP-OA du fichier elementaire d'entree 60. 
30 La figure 6 illustre egalement le fait que, pour chaque adresse TP-OA (c'est-a-dire 
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chaque application distante autoris6e) du fichier elementaire d'entr^e 60, le module SIM a 
la possibility d'acceder, dans la memoire de donndes 8 t h un ensemble 61 a 63 de trois 
parametres : une reference secrete (Kappli), un mode d'authentification de message 
(algo_id) et un schema securitaire. 

Ainsi, comme illustre sur la figure 7, pour effectuer l'6tape 57 d'authentification 
de message, le module SIM utilise la r£f6rence secrete (Kappli) et le mode 
d'authentification de message (algo_id) qui sont associ6s a r application emettrice du 
message et qu'il a prealablement retrouv6s dans la memoire de donnees 8. A partir de ces 
deux paramfetres (Kappli et algo_id) et des donnees du corp du message, le module SIM 
calcule par exemple un cryptogramme qui doit etre identique a un cryptogramme (SMS- 
Cert) contenu dans le corp du message (cf figure 2) pour que 1' authentication du 
message soit rcussie. 

La figure 8 permet d'expliciter l'etape 511 de securisation de l'execution d'une 
commands Chaque commande (ou operation) d'un message est effectivement executee 
seulement si, d'apr&s T6tat courant de s6curite du module SIM ainsi que les informations 
et les attributs de securite lids a Tapplication distante Emettrice du message, cette 
commande est autorisee a accdder aux fichiers sur lesquels elle travaille. Ceci correspond 
au schema securitaire de 1' application distante. 

Dans la suite de la description, on presente un mode de realisation particulier de 
1' invention, dans lequel chaque application distante autorisee est associee a un fichier 
elementaire systfcme (EF SMS System) de la memoire de donnees 8. 

Chaque fichier 616mentaire systeme stocke une premiere information permettant de 
localiser dans la memoire de donnees 8 un couple (reference secrete Kappli, mode 
d'authentification de message algo_id), ce couple 6tant associe a 1* application distante 
autorisee & laquelle est U6 ce fichier Elementaire systeme. 

Dans le present mode de realisation, cette premiere information de localisation 
d'un couple (Kappli, algo_id) est un identificateur d'un fichier specialise sous lequel se 
trouve le fichier EF key_op contenant ce couple. Le fichier EF key_op peut stocker lui- 
meme le mode d'authentification de message ou bien seulement un pointeur algo_id 
indiquant le lieu de stockage de ce mode d'authentification de message. 
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Par ailleurs, chaque message court ameliore comprend une seconde information 
de localisation du fichier elementaire systeme auquel est liee T application distante 
autorisee emettrice du message. court ameliore. 

Comme present^ sur la figure 2, dans le present mode de realisation, cette 
seconde information de localisation d'un fichier elementaire systeme est un identificateur 
"DF entree" (ou Login DF en langue anglaise) d'un fichier specialise ou d'un fichier 
maitre auquel se rapporte, selon une strategic de recherche predeterminee dans les 
moyens de memorisation de donnEes, ce fichier Elementaire systeme. 

Le module SIM met par exemple en oeuvre un mEcanisme de recherche en amont 
(du type "backtracking"), consistant : 

a rechercher un fichier Elementaire systeme tout d'abord sous le fichier 
specialise ou le fichier maitre courant (c'est-a-dire celui indique par 
Tidentificateur "DF entree"), 

puis, si aucun fichier Elementaire systeme n'existe sous le fichier 
spEcialisE ou le fichier maitre courant et si Tidentificateur U DF entree" 
n' indique pas le fichier maitre* a rechercher un fichier elementaire systeme 
directement sous le fichier maitre. 
Ainsi, le module SIM lit dans chaque message court amEliorE filtrE Tidentificateur 
DF Id. A partir de cet identificateur "DF entrEe", il retrouve le fichier ElEmentaire systeme 
auquel est liEe T application distante autorisee emettrice du message. Le module SIM lit 
dans ce fichier elementaire systEme Tidentificateur du fichier specialise sous lequel se 
trouve le fichier EF key_op. Dans ce fichier EF key_op, il lit le couple (Kappli, algo_id), 
de fa?on a connaitie la reference secrEte et le mode d' authentication de message a utiliser 
pour authentifier le message court amEliorE filtrE. 

Un fichier ElEmentaire systeme au maximum peut etre place sous un fichier 
specialise. De meme, un fichier Elementaire systfeme au maximum peut etre place 
directement sous le fichier maitre. 

Si aucun fichier elementaire systEme n'existe sous un fichier specialise, ni sous le 
fichier maitre, les EF placEs sous ce fichier spEcialisE, quelle que soit la valeur de la 
condition d'acces a distance associee a chacun de ces fichiers elementaires, ne sont 
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accessibles par aucune commande distante. 

De meme, si aucun fichier Elementaire systeme n'existe directement ni sous Je 
fichier maitre, alors les fichiers ElEmentaires places directement sous le fichier maitre, 
quelle que soit la valeur de la condition d'acces k distance associee a chacun de ces 
fichiers ElEmentaires, ne sont accessibles par aucune commande distante. 

Dans le cas d'un fichier dont la condition d'acces a distance possede la valeur 
"PRIVE" ("acces privE"), T unique application distante dont les commandes distantes 
peuvent acceder k ce fichier est, sous reserve que son authentification soit reussie, 
T application distante autorisEe liee au meme fichier Elementaire systeme que celui auquel 
se rapporte le fichier specialise ou fichier maitre parent de ce fichier. Cette application 
distante autorisEe est dite parente de ce fichier. 

Dans le cas d'un fichier dont la condition d'acces k distance possede la valeur 
"PARTAGE" ("accfes partage"), les applications distantes predeterminees dont les 
commandes distantes peuvent accEder k ce fichier sont, sous reserve que leur 
authentification soit reussie, toutes les applications distantes autorisees. quel que soit le 
fichier elementaire systeme auquel chacune d'elles est HEe. 

La figure 9 presente un exemple de memoire de donnEes 8 partagee entre deux 
applications distantes, k savoir : 

Tapplication "DFl", dont TEF SMS System 91 se rapporte au fichier 
specialist DF1 ; et 

Tapplication "MP', dont le fichier Elementaire systeme 92 se rapporte au 
fichier maitre MF. 

On notera que les messages Emis par Tapplication "DFl" component dans leur 
champ "DF entree" la valeur DFl, qui est le fichier specialise sous lequel se trouve le 
fichier Elementaire systeme 91 de cette application "DFl". 

Par contre, les messages Emis par Tapplication "MF* component dans leur champ 
"DF entree" la valeur MF/DF2, et non pas la valeur MF. En fait, aucun fichier ElEmentaire 
systfeme ne se trouvant sous ce fichier specialisE DF2, c'est bien sous le fichier maitre que 
le module SIM va chercher (mecanisme de "backtracking") le fichier elementaire systeme 
92 de cette application "MF*. 
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Dans cet exemple, on distingue les quatre groupes de fichiers suivants : 

groupe A* : les fichiers (DF1, EF2) uniquement accessibles par les 
commandes del' application distante "DF1'\ c*est-a-dire les fichiers dont 
la condition d'acces a distance est "PRTVE" pour T application "DF1" ; 
groupe B' : les fichiers (MF, DF2, EF5, EF7) uniquement accessibles par 
les commandes de Tapplication distante "MF" ; 

groupe C : les fichiers (EF3, EF1, EF6) accessibles par les commandes 
des applications distantes "DF1" et "MF", c'est-a-dire les fichiers dont la 
condition d'acces a distance est "PARTAGE" pour les applications "DF1" 
et"MF"; 

groupe D' : les fichiers (EF4) accessibles par les commandes d'aucune 

application distante, c'est-a-dire les fichiers dont la condition d'acces a 

distance est "JAMAIS". 
II est important de souligner que la presente invention permet, par Tintermediaire 
de commandes distantes, de creer, mettre a jour ou encore supprimer certains elements 
evoqiies ci-dessus, tels que notamment : 

les valeurs des conditions d'acces, standard ou a distance, des politiques 

de controle d'acces associees a chaque fichier ; 

Tindicateur de la politique de controle d'acces, standard ou a distance, a 
udliser avec chaque application pour chaque fichier ; 
la liste des applications distantes autoris6es ; 

pour chacune des applications distantes autorisees, la reference secrete et 
le mode d'authentification de message associes ; 

les fichiers 616mentaires systemes EF SMS System lies chacun h une 

application distante autorisee distincte ; 

les fichiers 616mentaires EF, sp£cialisds DF et maitires MF. 
La figure 10 pr6sente un second exemple de partition de la memoire de donnees 8. 
Dans ce second exemple, la memoire de donnees 8 est partagee entre quatre applications 
distantes, & savoir : 

Tapplication "MF\ dont le fichier elementaire systeme EF SMS System 0 
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presente une securite activee, se rapporte au fichier maitre ; 

l'application "DFl", dont le fichier Elementaire systeme EF SMS System 

1 presente une securite desactivee, se rapporte au fichier specialise DF1 ; 
l'application "DF2*\ dont le fichier elementaire systeme EF SMS System 

2 presente une securite activee, se rapporte au fichier specialise DF2 ; et 

l 1 application "DF4*\ dont le fichier elementaire systeme EF SMS System 
4 presente une security desactivee, se rapporte au fichier specialise DF4. 

On entend par securite activEe, pour un fichier dldmentaire systeme, le fait que 
Tindicateur de politique de controle d'acces contenu dans ce fichier elementaire systeme 
prevoit l'utilisation d'une politique de controle d'acces a distance. De meme, on entend 
par securite desactivee, pour un fichier 616mentaire systeme, le fait que Tindicateur de 
politique de controle d'acces contenu dans ce fichier elementaire systeme prEvoit 
I'utilisation de la politique de controle d'acces standard. 

II est a noter que le fichier specialise DF3, ainsi que tous les fichiers places sous 
le fichier specialise DF3, ont pour application parente "MF' puisqu'il n'existe aucun 
fichier elementaire systeme sous le fichier specialise DF3. 

Chaque fichier elementaire est associe a une valeur de condition d'acces a distance 
("jamais V'prive", ou "partage"). 

Le tableau de Tannexe 2 resume les diffdrentes situations d'acces (acces autorise 
ou refuse) pour chaque fichier elementaire de la figure 10, en fonction du fichier 
specialise (ou fichier maitre) spEcifid dans Ten-tete du message. 

Pour chaque fichier Elementaire k accEder par la commande (premiere colonne), 
on a indique: 

la valeur de condition d'acces k distance associee a ce fichier (premiere 
colonne egalement) ; 

l'EF ESMS System auquel se rapporte le fichier a acceder (seconde 
colonne) ; et 

l*6tat (active ou desactive) de la s&urite de cet EF ESMS System (seconde 
colonne egalement). 

Pour chaque fichier sp6cialis£ (ou fichier maitre) specific dans l'en-tete du 
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message, on a indique le fichier specialise (ou fichier maitre) parent du fichier elementaire 
systeme ou est effectuee T.authentification de message. On notera qu'aucune 
authentification de message n'est effectuee pour les fichiers specialises DF1 et DF4, dont 
les fichiers elementaires systemes (1 et 4 respectivement) presentent chacun une securite 
desactivee. 

Ce tableau montre clairement que : 

si un fichier elementaire systeme existe dans un fichier specialise, un fichier 
eldmentaire de ce fichier specialise dont la condition d'acces a distance est 
"PRTVE" ne peut pas etre accede & travers une commande distante contenue dans 
un message authentifid dans un autre fichier specialise ; 

si aucun fichier elementaire systfeme n'existe dans un fichier specialise mais existe 
dans le fichier maitre, un fichier Elementaire de ce fichier specialise dont la 
condition d'acces a distance est "PRIVE" ne peut pas etre accede a travers une 
commande distante contenue dans un message authentifie dans un autre fichier 
specialise, different du fichier maitre et contenant Iui-meme un fichier elementaire 
systeme ; 

si aucun fichier elementaire systeme n'existe dans un fichier specialise, ni dans le 
fichier maitre, aucun message ne peut etre authentifie sous ce fichier specialise et 
un fichier elementaire de ce fichier specialise, quelle que soit sa condition d'accfes 
& distance, ne peut pas etre accede a travers une commande distante (en d'autres 
termes, si aucun fichier Elementaire systfcme n'est attache a un fichier, tout acces a 
distance - a travers une commande distante - est interdit) ; 

dans tous les cas, un fichier Elementaire dont la condition d' acces a distance est 

"PART AGE" peut etre acc6d6 h travers une commande distante contenue dans un 

message qui a 6t6 authentifi6. 

Ci-dessous, dans un but de simplification, on note : 

"LA" (pour "Login Appli" en langue anglaise) le fichier elementaire 
systeme qui se rapporte au fichier specialise DF specifie dans Ten-tete du 
message, et 

"PA" (pour "Parent Appli" en langue anglaise) le fichier elementaire 
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systeme qui se rapporte au fichier a acc&ier. 
La securite peut alors, d'une fa^on plus generate, etre entierement et formellement 
decrite avec les sept regies suivantes : 

- R 1 . Si aucun fichier PA ne peut etre trouvd, 

-> Alors I'accfes h distance est interdit 

- R2. Si un fichier PA est trouve, mais la condition d'acces a distance du fichier a 

acceder est "PRJVE" : 

-> Alors faeces a distance est interdit. 

- R3. Si un fichier PA est trouve, et la condition d'acces a distance du fichier a acceder 

est "PRIVE", et le fichier PA n'est pas le meme que ie fichier LA : 
-> Alors faeces & distance est interdit. 

- R4. Si un fichier PA est trouvd, et la condition d'acces k distance du fichier & acceder 

est "PRIVE", et le fichier PA est le meme que le fichier LA, et la securite est 
desactivee dans le fichier LA : 

-> Alors faeces a distance depend des conditions d'acces standard au fichier. 

- R5. Si un fichier PA est trouve, et la condition d'acces a distance du fichier a acedder 

est "PRIVE", et le fichier PA est le meme que le fichier LA, et la securite est 

activee dans le fichier LA : 

-> Alors faeces a distance est autorise. 

- R6. Si un fichier PA est trouve, et la condition d'acces a distance du fichier a acceder 

est "PART AGE", et la security est d&activ& dans le fichier LA : 

-> Alors faeces a distance depend des conditions d'acces standard au fichier. 

- R7. Si un fichier PA est trouve, et la condition d'acc6s a distance du fichier a acceder 

est "PARTAGE", et la s6curit6 est activee dans le fichier L A : 
-> Alors faeces k distance est autoris6. 
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REVENDICATIONS 

1 . Systeme de communication, du type comprenant notamment une pluralite 
d'equipements terminaux (MS ; 1) constitues chacun d'un terminal (ME ; 4) cooperant 
avec une carte utilisateur a microprocesseur (module SIM ; 5), 

chaque carte utilisateur incluant des moyens (8) de memorisation de donnees 
comprenant une pluralite d'objets (MF, DF, EF), lesdits moyens (8) de memorisation de 
donnees servant de support a au moins deux applications distinctes (appli. GSM, appli. 
dist. 1 a appli. dist. 1" ; Fidelite, Paiement, GSM ; "DFl", "MF'), ladite carte utilisateur 
comprenant des moyens (6, 7) d'execution de commandes appartenant auxdites 
applications, 

chaque objet compris dans les moyens de memorisation de donnees d'une carte 
utilisateur etant associe a une premiere politique de controle d'acces (PCA Standard) 
definie par un jeu de premieres conditions d'acces (cond. d'acc. std 1 a cond. d'acc. std 
k), chacune desdites premieres conditions d'acces s'appliquant, pour ledit objet, a un 
groupe d'au moins une commande appartenant a la ou aux applications utilisant ladite 
premiere politique de controle d'acces, 

caracterise en ce que chaque objet est 6galement associe a au moins une autre 
politique de controle d'acces (PCA a distance n°l, PCA & distance n°2), chaque autre 
politique de controle d'acces etant definie par un jeu d'au moins une condition d'acces 
alternative (cond. d'acc. a dist. 1, cond. d'acc. a dist. 2), chaque condition d'acces 
alternative d'une autre politique de controle d'acc 6s donnee s'appliquant, pour ledit objet, 
k un groupe d'au moins une commande appartenant k la ou aux applications utilisant 
ladite autre politique de controle d'acces donn6e, 

et en ce que chaque objet est egalement associe k une plurality d'indicateurs de 
politique de controle d'acces, chaque indicateur de politique de controle d'acces 
indiquant, pour une desdites applications, quelle politique de controle d'acces, a savoir 
premiere ou autre, utiliser avec cette application, lesdits indicateurs de politique de 
controle d'acces etant stockes dans lesdits moyens (8) de memorisation de donnees. 

2 . Systeme selon la revendication 1, caracterise en ce que, pour chaque objet, au 
moins une autre politique de controle d'accfes est specifique a une des applications. 
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chaque condition d'acc&s alternative de cette autre politique de controle d'acces sp6cifique 
s'appliquant, pour ledit objet, un groupe d'au moins une commande appartenant a 
l'unique application utilisant cette autre politique de controle d'acces specifique. 

3 . Systeme selon Tune quelconque des revendications 1 et 2, caracteris£ en ce que, 
pour chaque objet, au moins une autre politique de controle d'acces est entierement 
commune a au moins deux applications, chaque condition d'acces alternative de cette 
autre politique de controle d'acces entiferement commune s'appliquant, pour ledit objet, a 
un groupe d'au moins une commande appartenant auxdites au moins deux applications 
utilisant cette autre politique de controle d'acces entierement commune. 

4 . Systeme selon Tune quelconque des revendications 1 a 3, caracterise en ce que, 
pour chaque objet, au moins une autre politique de controle d'acces est partiellement 
commune a au moins deux applications, 

certaines des conditions d'acces alternatives de cette autre politique de controle 
d'acces partiellement commune s'appliquant, pour ledit objet, a un groupe d'au moins 
une commande appartenant auxdites au moins deux applications utilisant cette autre 
politique de controle d'acces commune, 

d'autres des conditions d'acces alternatives de cette autre politique de controle 
d'acces partiellement commune s'appliquant, pour ledit objet, £ un groupe d'au moins 
une commande appartenant uniquement a 1'une desdites au moins deux applications 
utilisant cette autre politique de contrdle d'accfes commune. 

5 * Systeme selon Tune quelconque des revendications 1 a 4, du type permettant une 
radiocommunication cellulaire, caract6ris£ en ce que ladite plurality d'equipements 
terminaux est une pluralite de stations mobiles (MS ; 1), lesdites cartes utilisateur £tant 
des modules d' identification d'abonn6 (module SIM ; 5). 

6 . Systeme selon l'une quelconque des revendications 1 a 5, du type comprenant en 
outre au moins un centre de service de messages (C-SMS), 

lesdits moyens de memorisation de donn£es d'une carte utilisateur servant de 
support k au moins une application locale et au moins une application distante de ladite 
carte utilisateur, les commandes 6tant dites locales, lorsqu'elles appartiennent a ladite 
application locale, ou distantes, lorsqu'elles appartiennent a ladite application distante. 
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chaque terminal (4) pouvant recevoir des messages, de type normal (SMS) ou 
amelior£ (ESMS), emis par ledit centre de service de messages, chaque carte utilisateur 
(5) comprenant des moyens (9) de stockage et de traitement des messages re?us par le 
terminal avec lequel elle coopfcre, 

les messages normaux contenant des donnees brutes constituant une information 
destinee a etre fournie a Tabonn6 via notamment un ecran d'affichage du terminal, les 
messages ameliores (20) contenant des commandes distantes (cmd 1, cmd 2, ...), 

caracterise en ce que lesdits moyens (8) de memorisation de donnees de chaque 
carte utilisateur stockent egalement une liste d* applications distantes autorisees (TP-OA 1 
a TP-OA n), 

et en ce que chaque carte utilisateur comprend egalement des moyens de 
discrimination des messages amdliores, permettant de bloquer chaque message am^liore 
qui contient des commandes distantes n'appartenant pas a une desdites applications 
distantes autorisees. 

7 • Systeme selon la revendication 6, caracterise en ce que lesdits moyens de 
memorisation de donnees de chaque carte utilisateur stockent egalement, pour chacune 
desdites applications distantes autorisees, une reference secrete (Kappli) et un mode 
d' authentication de message (algo_id) associes, 

et en ce que chaque carte utilisateur (module SIM) comprend egalement des 
moyens d' authentication des messages ameliores discrimin6s, permettant d'authentifier 
un message ameliore discrimin6 en utilisant la rdference secrete et le mode 
d* authentication de message associes, dans lesdits moyens de memorisation de 
donn6es, & r application distante autorisee & laquelle appartiennent les commandes 
contenues dans ledit message am61iore discriminfi. 

8 • Systfeme selon Tune quelconque des revendications 1 a 7, caract6ris6 en ce que, 
pour chaque objet, la ou au moins une des autres politiques de controle d'acces, dite 
seconde politique de controle d'accds, est d6fmie par un jeu d'au moins une condition 
d'acces alternative particuliere, chaque condition d'acc&s alternative particuliere pouvant 
prendre notamment les valeurs suivantes : 

"aucun acces" ("JAMAIS") : si ledit objet n'est accessible par aucune 
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commande dudit groupe d'au moins une commande auquel s'applique 
ladite condition d'acces alternative particuliere ; 

"acces prive" ("PRIVE") : si ledit objet n'est accessible que par les 
commandes appartenant a une unique application pr6d6terminee, parmi 
ledit groupe d'au moins une commande auquel s'applique ladite condition 
d'acces alternative particuliere ; 

"acces partagt" ("PARTAGE") : si ledit objet est accessible par les 
commandes appartenant a au moins deux applications predetermines, 
parmi ledit groupe d'au moins une commande auquel s'applique ladite 
condition d'acces alternative particuliere. 
9 . Systeme selon Tune quelconque des revendications 6 a 8, caract6rise en ce que, 
pour chaque objet, au moins une autre politique de controle d'accfes, dite politique de 
controle d'acces a distance, est d£finie par un jeu d'au moins une condition d'acces a 
distance (cond. d'acc. k dist. 1, cond. d'acc. a dist. 2), chaque condition d'acces a 
distance s'appliquant, pour ledit objet, a un groupe d'au moins une commande distante 
appartenant a la ou aux applications distantes utilisant ladite politique de controle d'acces 
a distance, 

et en ce que, pour chaque objet, seuls les indicateurs de politique de controle 
d'acces associes chacun k une des applications distantes peuvent indiquer ladite politique 
de controle d'acces k distance. 

1 0 . Systeme selon les revendications 8 et 9, caracterise en ce que, pour chaque objet, 
chaque condition d'acces a distance peut prendre les memes valeurs ("JAMAIS", 
"PRIVE", "PART AGE") que lesdites conditions d'acces alternatives particuli&nes. 

1 1 . Systeme selon Tune quelconque des revendications 7 k 10, lesdits moyens de 
memorisation de donn&s de chaque carte utilisateur possedant une structure hierarchique 
a au moins trois niveaux et comprenant au moins les trois types de fichiers suivants : 

fichier maitre (MF), ou repertoire principal ; 

fichier specialist (DF), ou repertoire secondaire place sous ledit fichier 
maitre ; 

fichier elementaire (EF), placd sous un desdits fichiers specialises, dit 
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fichier specialise parent, ou directement sous ledit fichier maitre, dit fichier 
maitre parent, 

caracterise en ce que lesdits moyens de memorisation de donnees de chaque carte 
utilisateur comprennent au moins un fichier eiementaire systeme (EF SMS System), 
5 chaque fichier eiementaire systeme etant lie a une application distante autorisee et stockant 

une premiere information de localisation de la reference secrete et du mode 
d'authentification de message associes a cette application distante autorisee a laquelle il est 
lie, 

et en ce que chaque message ameliore comprend une seconde information ("DF 
1 0 entree") de localisation du fichier eiementaire systeme auquel est liee T application distante 

autorisee a laquelle appartiennent les commandes contenues dans ledit message ameliore, 
lesdits moyens d'authentification lisant dans chaque message ameliore discrimine 
ladite seconde information de localisation du Fichier eiementaire systeme, de fa?on a lire 
dans le fichier eiementaire systeme ladite premiere information de localisation de la 
1 5 reference secrete et du mode d'authentification de message h utiliser pour authentifier ledit 

message ameliore discrimine. 

12. Systeme selon la revendication 11, caracterise en ce que chaque fichier 
eiementaire systeme (EF SMS System) est place sous un fichier specialise (DF) ou 
directement sous le fichier maitre (MF), un fichier eiementaire systeme au maximum 

20 pouvant etre place sous chaque fichier specialise, et un fichier eiementaire systeme au 

maximum pouvant etre place directement sous le fichier maitre. 

13. Systeme selon la revendication 12, caracterise en ce que si aucun fichier 
eiementaire systeme (EF SMS System) n'existe sous un fichier specialist (DF), ni sous le 
fichier maitre (MF), alors chaque fichier eiementaire (EF) place sous ledit fichier 

25 specialise, quelle que soit la valeur des conditions d'accfes h distance associees a ce fichier 

eiementaire, n'est accessible par aucune commande distante, 

et en ce que si aucun fichier 61ementaire systeme (EF SMS System) n'existe 
directement sous le fichier maitre (MF), alors chaque fichier eiementaire (EF) place 
directement sous le fichier maitre, quelle que soit la valeur des conditions d'acces a 

30 distance associees a ce fichier eiementaire, n'est accessible par aucune commande 
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distante. 

1 4 . Systerne selon Tune quelconque des revendications 1 1 a 13, caracterise en ce que 
ladite seconde information de localisation du fichier elementaire systerne (EF SMS 
System) est un identificateur ("DF entree") d'un fichier specialise (DF) ou d'un fichier 
5 maitre (MF) auquel se rapporte ledit fichier elementaire systerne selon une strategic de 

recherche predeterminee dans les moyens de memorisation de donn6es. 
IS* Systerne selon la revendication 14, caracterise en ce que ladite strategic de 
recherche predeterminee dans les moyens de memorisation de donnees est un mecanisme 
de recherche en amont (du type "backtracking"), consistant a rechercher si un fichier 
10 Elementaire systerne (EF SMS System) existe sous le fichier specialise (DF) ou le fichier 

maitre (MF) indique par ledit identificateur, et, dans la negative et si 1'identificateur 
n'indique pas le fichier maitre, a rechercher si un fichier elementaire systerne existe 
directement sous le fichier maitre. 

1 6 . Systerne selon la revendication 10 et Tune quelconque des revendications 1 1 a 15, 

15 caracterise en ce que, dans le cas d'un fichier dont une des conditions d'acces a distance 

possede la vaieur "acces prive", ladite unique application distante predeterminee dont les 
commandes distantes peuvent acceder audit fichier est, sous reserve que son 
authentication soit reussie, l'application distante autorisee parente dudit fichier, c'est-a- 
dire T application distante autorisee liee au meme fichier elementaire systerne (EF SMS 

20 System) que celui auquel se rapporte le fichier specialise (DF) parent ou le fichier maitre 

(MF) parent dudit fichier, 

et en ce que, dans le cas d'un fichier dont la condition d'acces k distance possfede 
la vaieur "accfes partage*\ lesdites au moins deux applications distantes predetermines 
dont les commandes distantes peuvent acceder audit fichier sont, sous reserve que leur 

25 authentification soit reussie, toutes les applications distantes autorisees, quel que soit le 

fichier elementaire systerne (EF SMS System) auquel chacune d'elles est liee. 
17. Systfeme selon Tune quelconque des revendications 1 1 £ 16, caracterise en ce que 
chaque fichier elementaire systerne (EF SMS System) comprend un ensemble distinct 
d'indicateurs de politique de contrdle d'acces, chaque indicateur de politique de controle 

30 d'acces indiquant, pour une desdites applications, quelle politique de controle d'acces, a 
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savoir premiere ou autre, utiliser avec cette application, 

ledit ensemble distinct d'indicateurs de politique de controle d'acces etant associe 
a tous les fichiers (EF, DF, MF) dont le fichier specialise (DF) parent ou le fichier maitre 
(MF) parent se rapporte audit fichier dlementaire systeme (EF SMS System). 

1 8 . Carte utilisateur a microprocesseur (module SIM) du type destine a cooperer avec 
un terminal (ME ; 4) de fafon & constituer un 6quipement terminal (MS ; 1) d'un systeme 
de communication selon Tune quelconque des revendications 1 a 17, 

caracteris£ en ce que chaque objet des moyens de memorisation de donnees de 
ladite carte utilisateur est egalement associe a au moins une autre politique de controle 
d'acces (PCA & distance n°l, PCA k distance n°2), chaque autre politique de controle 
d*acc6s etant definie par un jeu d*au moins une condition d'acces alternative (cond. d'acc. 
h disL 1, cond. d*acc. k dist. 2), chaque condition d'acces alternative d'une autre 
politique de controle d'acces donn^e s'appiiquant, pour ledit objet, a un groupe d'au 
moins une commande appartenant a la ou aux applications utilisant ladite autre politique 
de controle d'acces donn£e, 

et en ce que chaque objet est Egalement associe a une pluralite d'indicateurs de 
politique de controle d'accfes, chaque indicateur de politique de controle d'acces 
indiquant, pour une desdites applications, quelle politique de controle d'acces, a savoir 
premiere ou autre, utiliser avec cette application, lesdits indicateurs de politique de 
controle d'acc&s 6tant stockes dans les moyens (8) de memorisation de donnees de ladite 
carte utilisateur. 

19. Proced6 de gestion securis£e et independante d'au moins deux applications 
distantes, par une carte utilisateur a microprocesseur (module SIM ; 5) du type destine a 
coopdrer avec un terminal (ME ; 4) de fa?on a constituer un 6quipement terminal (MS ; 1) 
d'un systeme de communication selon Tune quelconque des revendications 6 a 17, 

caract6ris6 en ce que, pour chaque message ameliore re$u, ladite cane utilisateur 
(module SIM) effectue notamment Tetape suivante (511) : pour chaque commande 
distante contenue dans ledit message ameliore, verification de 1* accessibility de cette 
commande distante h r objet concerne, ladite verification de l'accessibilte s'appuyant sur 
une politique de controle d'acces, premiere ou a distance, h utiliser pour ledit objet 
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concerne avec ladite application distante courante. 

20. Procede selon la revendication 19, caracterise en ce que, pour chaque message 
arneliore re?u, ladite carte utilisateur (module SIM) effectue egalement une etape prealable 
(54) de discrimination dudit message am6Iiore, de fa?on a ne poursuivre son traitement 
que si Implication distante, dite application distante courante, a laquelle appartiennent les 
commandes distantes qu'il contient est une application distante autorisee. 
2 1 . Procede selon Tune quelconque des revendication 19 et 20, caracterise en ce que, 
pour chaque message arneliore re?u, ladite carte utilisateur (module SIM) effectue 
egalement une etape prealable (57) d' authentication dudit message arneliore, en utilisant 
une reference secrete et un mode d'authentification de message associes a ladite 
application distante courante. 

2 2 . Procede selon Tune quelconque des revendications 19 a 2 1 , caracterise en ce que 
au moins certains des Elements appartenant au groupe suivant peuvent etre crees et/ou mis 
a jour et/ou supprimes par Tintermediaire de commandes distantes : 

les valeurs des conditions d'acces, notamment premieres ou a distance, 
des politiques de controle d'acces associees a chaque objet ; 
Tindicateur de politique de controle d'acces, notamment premiere ou a 
distance, a utiliser avec chaque application pour chaque objet ; 
la liste des applications distantes autoris^es ; 

pour chacune des applications distantes autorisees de ladite liste, la 

reference secrfete et le mode d'authentification de message associes ; 

le ou lesdits fichiers elementaires systemes (EF SMS System) lies chacun 

a une application distante autorisee distincte ; 

les fichiers elementaires (EF), specialise (DF) et maitre (MF). 
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